تحرير

الحماية متعددة الطبقات للوصول إلى جهاز Azure الظاهري

معرف Microsoft Entra
Azure Bastion
Azure Role-based access control
Microsoft Defender for Cloud

أفكار الحل

هذه المقالة هي فكرة حل. إذا كنت ترغب في توسيع المحتوى بمزيد من المعلومات، مثل حالات الاستخدام المحتملة أو الخدمات البديلة أو اعتبارات التنفيذ أو إرشادات التسعير، فقم بإعلامنا من خلال تقديم ملاحظات GitHub.

يوفر هذا الحل نهجاً متعدد الطبقات لحماية الأجهزة الظاهرية (VMs) في Azure. يحتاج المستخدمون إلى الاتصال بالأجهزة الظاهرية لأغراض إدارية وتنفيذية. من الضروري تقليل سطح الهجوم الذي ينشئه الاتصال.

يحقق هذا الحل وصولا دقيقا غير مستمر إلى الأجهزة الظاهرية من خلال دمج العديد من آليات الحماية. وهو يتماشى مع مبدأ الامتياز الأقل (PoLP) ومفهوم الفصل بين الواجبات. لتقليل التعرض للهجمات، يقوم هذا الحل بتأمين نسبة استخدام الشبكة الواردة إلى الأجهزة الظاهرية، ولكنه يجعل اتصالات الجهاز الظاهري قابلة للوصول عند الحاجة. يقلل تنفيذ هذا النوع من الحماية من مخاطر العديد من الهجمات الإلكترونية الشائعة على الأجهزة الظاهرية، مثل هجمات القوة الغاشمة وهجمات رفض الخدمة الموزعة (DDoS).

يستخدم هذا الحل العديد من خدمات وميزات Azure بما في ذلك:

  • Microsoft Entra إدارة الهويات المتميزة (PIM).
  • ميزة الوصول إلى الجهاز الظاهري في الوقت المناسب (JIT) في Microsoft Defender for Cloud.
  • Azure Bastion.
  • التحكم في الوصول استناداً إلى الدور في Azure (Azure RBAC) - إنشاءات الأدوار المخصصة.
  • الوصول المشروط ل Microsoft Entra، اختياريا.

حالات الاستخدام المحتملة

الدفاع في العمق هو الفكرة الرئيسية وراء هذه البنية. تتحدى هذه الاستراتيجية المستخدمين الذين لديهم عدة خطوط دفاع قبل منح المستخدمين حق الوصول إلى الأجهزة الظاهرية. والهدف هو ضمان ما يلي:

  • أن كل مستخدم شرعي.
  • أن كل مستخدم لديه نوايا قانونية.
  • الاتصال آمن.
  • يتم توفير الوصول إلى الأجهزة الظاهرية في Azure فقط عند الحاجة.

تنطبق استراتيجية الدفاع في العمق والحل في هذه المقالة على العديد من السيناريوهات:

  • يحتاج المسؤول إلى الوصول إلى جهاز Azure الظاهري في ظل هذه الظروف:

    • يحتاج المسؤول إلى استكشاف مشكلة وإصلاحها، أو التحقيق في السلوك، أو تطبيق تحديث مهم.
    • يستخدم المسؤول بروتوكول سطح المكتب البعيد (RDP) للوصول إلى جهاز ظاهري Windows أو shell آمن (SSH) للوصول إلى جهاز Linux الظاهري.
    • يجب أن يتضمن الوصول الحد الأدنى لعدد الأذونات التي يتطلبها العمل.
    • يجب أن يكون الوصول صالحاً لفترة محدودة فقط.
    • بعد انتهاء صلاحية الوصول، يجب على النظام تأمين وصول الجهاز الظاهري لمنع محاولات الوصول الضارة.

  • يحتاج الموظفون إلى الوصول إلى محطة عمل بعيدة مستضافة في Azure كجهاز ظاهري. تنطبق الشروط التالية:

    • يجب على الموظفين الوصول إلى الجهاز الظاهري فقط خلال ساعات العمل.
    • يجب أن ينظر نظام الأمان في طلبات الوصول إلى الجهاز الظاهري خارج ساعات العمل غير الضرورية والضارة.

  • يرغب المستخدمون في الاتصال بأحمال عمل Azure VM. يجب أن يوافق النظام على الاتصالات التي تكون فقط من الأجهزة المدارة والمتوافقة.

  • واجه النظام عدداً هائلاً من هجمات القوة الغاشمة:

    • استهدفت هذه الهجمات أجهزة Azure الظاهرية على منفذي RDP وSSH 3389 و22.
    • حاولت الهجمات تخمين بيانات الاعتماد.
    • يجب أن يمنع الحل منافذ الوصول مثل 3389 و22 من التعرض للإنترنت أو البيئات المحلية.

الهندسة

Architecture diagram showing how a user gains temporary access to an Azure V M.

قم بتنزيل ملف Visio لهذه البنية.

تدفق البيانات

  1. قرارات المصادقة والوصول: تتم مصادقة المستخدم مقابل معرف Microsoft Entra للوصول إلى مدخل Azure أو واجهات برمجة تطبيقات Azure REST أو Azure PowerShell أو Azure CLI. إذا نجحت المصادقة، يدخل نهج الوصول المشروط من Microsoft Entra حيز التنفيذ. يتحقق هذا النهج من استيفاء المستخدم لمعايير معينة. تتضمن الأمثلة استخدام جهاز مدار أو تسجيل الدخول من موقع معروف. إذا استوفى المستخدم المعايير، يمنح الوصول المشروط المستخدم حق الوصول إلى Azure من خلال مدخل Microsoft Azure أو واجهة أخرى.

  2. الوصول في الوقت المناسب المستند إلى الهوية: أثناء التخويل، يعين Microsoft Entra PIM للمستخدم دورا مخصصا من النوع المؤهل. تقتصر الأهلية على الموارد المطلوبة وهي دور محدد زمنياً وليس دوراً دائماً. ضمن إطار زمني محدد، يطلب المستخدم تنشيط هذا الدور من خلال واجهة Azure PIM. يمكن لهذا الطلب تشغيل إجراءات أخرى، مثل بدء سير عمل الموافقة أو مطالبة المستخدم بالمصادقة متعددة العوامل للتحقق من الهوية. في سير عمل الموافقة، يحتاج شخص آخر إلى الموافقة على الطلب. وإلا فلن يتم تعيين الدور المخصص للمستخدم ولا يمكنه المتابعة إلى الخطوة التالية.

  3. الوصول المستند إلى الشبكة في الوقت المناسب: بعد المصادقة والتخويل، يتم ربط الدور المخصص مؤقتاً بهوية المستخدم. ثم يطلب المستخدم الوصول إلى الجهاز الظاهري JIT. يفتح هذا الوصول اتصالاً من الشبكة الفرعية Azure Bastion على المنفذ 3389 ل RDP أو المنفذ 22 ل SSH. يتم تشغيل الاتصال مباشرة إلى بطاقة واجهة شبكة الجهاز الظاهري (NIC) أو الشبكة الفرعية ل VM NIC. يفتح Azure Bastion جلسة RDP داخلية باستخدام هذا الاتصال. تقتصر الجلسة على شبكة Azure الظاهرية ولا تتعرض للإنترنت العام.

  4. الاتصال إلى Azure VM: يصل المستخدم إلى Azure Bastion باستخدام رمز مميز مؤقت. من خلال هذه الخدمة، ينشئ المستخدم اتصال RDP غير مباشر ب Azure VM. يعمل الاتصال لفترة محدودة من الوقت فقط.

المكونات

يستخدم هذا الحل المكونات التالية:

  • أجهزة Azure الظاهرية هي أحد عروض البنية التحتية كخدمة (IaaS). يمكنك استخدام الأجهزة الظاهرية لتوزيع موارد الحوسبة القابلة للتطوير عند الطلب. في بيئات الإنتاج التي تستخدم هذا الحل، انشر أحمال العمل الخاصة بك على أجهزة Azure الظاهرية. ثم قم بالتخلص من التعرض غير الضروري للأجهزة الظاهرية وأصول Azure.

  • معرف Microsoft Entra هو خدمة هوية مستندة إلى السحابة تتحكم في الوصول إلى Azure وتطبيقات السحابة الأخرى.

  • PIM هي خدمة Microsoft Entra تدير الوصول إلى الموارد الهامة وتتحكم فيه وتراقبه. في هذا الحل، هذه الخدمة:

    • تقيّد وصول المسؤول الدائم إلى الأدوار المميزة القياسية والمخصصة.
    • يوفر الوصول المستند إلى الهوية في الوقت المناسب إلى الأدوار المخصصة.

  • الوصول إلى الجهاز الظاهري ل JIT هو ميزة من ميزات Defender for Cloud التي توفر الوصول المستند إلى الشبكة في الوقت المناسب إلى الأجهزة الظاهرية. تضيف هذه الميزة قاعدة رفض إلى مجموعة أمان شبكة Azure التي تحمي واجهة شبكة الجهاز الظاهري أو الشبكة الفرعية التي تحتوي على واجهة شبكة الجهاز الظاهري. تقلل هذه القاعدة من سطح الهجوم للجهاز الظاهري عن طريق حظر الاتصال غير الضروري بالجهاز الظاهري. عندما يطلب مستخدم الوصول إلى الجهاز الظاهري، تضيف الخدمة قاعدة السماح المؤقتة إلى مجموعة أمان الشبكة. نظراً لأن قاعدة السماح لها أولوية أعلى من قاعدة الرفض، يمكن للمستخدم الاتصال بالجهاز الظاهري. يعمل Azure Bastion بشكل أفضل للاتصال بالجهاز الظاهري. ولكن يمكن للمستخدم أيضاً استخدام جلسة RDP أو SSH مباشرة.

  • التحكم في الوصول استناداً إلى الدور في Azure يوفر إدارة وصول دقيقة إلى موارد Azure.

  • توفر الأدوار المخصصة في التحكم في الوصول في Azure طريقة للتوسع في الأدوار المضمنة في Azure RBAC. يمكنك استخدامها لتعيين الأذونات على المستويات التي تلبي احتياجات مؤسستك. تدعم هذه الأدوار PoLP. وهي تمنح فقط الأذونات التي يحتاجها المستخدم لغرض المستخدم. للوصول إلى جهاز ظاهري في هذا الحل، يحصل المستخدم على أذونات ل:

    • استخدام Azure Bastion.
    • طلب الوصول إلى JIT VM في Defender for Cloud.
    • قراءة الأجهزة الظاهرية أو سردها.

  • Microsoft Entra Conditional Access هو أداة يستخدمها معرف Microsoft Entra للتحكم في الوصول إلى الموارد. تدعم نهج الوصول المشروط نموذج أمان الثقة المعدومة. في هذا الحل، تضمن النهج وصول المستخدمين المصادق عليهم فقط إلى موارد Azure.

  • يوفر Azure Bastion اتصال RDP وSSH آمناً وسلساً بالأجهزة الظاهرية في الشبكة. في هذا الحل، يربط Azure Bastion المستخدمين الذين يستخدمون Microsoft Edge أو مستعرض إنترنت آخر ل HTTPS، أو حركة المرور الآمنة على المنفذ 443. يقوم Azure Bastion بإعداد اتصال RDP بالجهاز الظاهري. لا يتم عرض منافذ RDP وSSH للإنترنت أو أصل المستخدم.

    Azure Bastion اختياري في هذا الحل. يمكن للمستخدمين الاتصال مباشرة ب Azure VMs باستخدام بروتوكول RDP. إذا قمت بتكوين Azure Bastion في شبكة Azure الظاهرية، فقم بإعداد شبكة فرعية منفصلة تسمى AzureBastionSubnet. ثم قم بإقران مجموعة أمان الشبكة بتلك الشبكة الفرعية. في هذه المجموعة، حدد مصدراً لنسبة استخدام الشبكة HTTPS مثل كتلة التوجيه الداخلي بين النطاقات (CIDR) الخاصة بالمستخدم دون فئات IP. باستخدام هذا التكوين، يمكنك حظر الاتصالات التي لا تأتي من البيئة المحلية للمستخدم.

    المساهمون

تحتفظ Microsoft بهذه المقالة. وهي مكتوبة في الأصل من قبل المساهمين التاليين.

الكاتب الرئيسي:

لمشاهدة ملفات تعريف LinkedIn غير العامة، سجل الدخول إلى LinkedIn.

الخطوات التالية